hamm3r Опубликовано 4 июля, 2010 Share Опубликовано 4 июля, 2010 Та же ситуация у меня, позвонил в службу поддержки смс-сервисов 8-800-100-73-37. Там сказали какие коды вводить. Баннер исчез, но не знаю где сам вирус искать. Что делать? параметра userinit там вообще нет, стоит (По умолчанию), а в параметре shell стоит explorer.exe Ссылка на комментарий Поделиться на другие сайты More sharing options...
Mark D. Pearlstone Опубликовано 4 июля, 2010 Share Опубликовано 4 июля, 2010 Та же ситуация у меня, позвонил в службу поддержки смс-сервисов 8-800-100-73-37. Там сказали какие коды вводить. Баннер исчез, но не знаю где сам вирус искать. Что делать?параметра userinit там вообще нет, стоит (По умолчанию), а в параметре shell стоит explorer.exe Теперь, когда баннера нет, вы можете сделать логи. Ссылка на комментарий Поделиться на другие сайты More sharing options...
hamm3r Опубликовано 4 июля, 2010 Автор Share Опубликовано 4 июля, 2010 Теперь, когда баннера нет, вы можете сделать логи. Вот логи, но, прежде чем я их сделал, KIS2010 нашёл и удалил Trojan.Win32.Qhost.nji в папке С:\Windows\system32\drivers\etc\hosts virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
snifer67 Опубликовано 4 июля, 2010 Share Опубликовано 4 июля, 2010 Чисто. Установите IE8 Ссылка на комментарий Поделиться на другие сайты More sharing options...
MotherBoard Опубликовано 4 июля, 2010 Share Опубликовано 4 июля, 2010 Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. Ссылка на комментарий Поделиться на другие сайты More sharing options...
snifer67 Опубликовано 4 июля, 2010 Share Опубликовано 4 июля, 2010 (изменено) Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. Зачем? Изменено 4 июля, 2010 пользователем snifer67 Ссылка на комментарий Поделиться на другие сайты More sharing options...
MotherBoard Опубликовано 4 июля, 2010 Share Опубликовано 4 июля, 2010 Не всегда всё видно в стандартных логах. другой раз с иных логов туча зверей вылезет... Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 4 июля, 2010 Share Опубликовано 4 июля, 2010 параметра userinit там вообще нет, стоит (По умолчанию), а в параметре shell стоит explorer.exeА сколько у Вас веток winlogon? Ссылка на комментарий Поделиться на другие сайты More sharing options...
hamm3r Опубликовано 4 июля, 2010 Автор Share Опубликовано 4 июля, 2010 А сколько у Вас веток winlogon? Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 4 июля, 2010 Share Опубликовано 4 июля, 2010 Ага, веток стало быть 2 и одна из них липовая. Сделайте скриншот совержимого ветки Winlogon (выделенная буква - прописная) Ссылка на комментарий Поделиться на другие сайты More sharing options...
hamm3r Опубликовано 5 июля, 2010 Автор Share Опубликовано 5 июля, 2010 Ага, веток стало быть 2 и одна из них липовая. Сделайте скриншот совержимого ветки Winlogon (выделенная буква - прописная) пожалуйста) Ссылка на комментарий Поделиться на другие сайты More sharing options...
MotherBoard Опубликовано 5 июля, 2010 Share Опубликовано 5 июля, 2010 Последний скриншот Winlogon - это оригинал! А тот что в девятом посте - winlogon - это липовая.. Её удалять Ссылка на комментарий Поделиться на другие сайты More sharing options...
Lasso Опубликовано 5 июля, 2010 Share Опубликовано 5 июля, 2010 hamm3r, В какой из веток реестра вы исправляли значение? Сообщение от модератора thyrex MotherBoard, вместо того, чтобы жаловаться, Вы бы в суть вопроса вникли и подумали, для чего он задается. Вопрос был написан по моей просьбе.Хотя ответа мы не дождемся, т.к. я запамятовал, что автор снял блокер кодом hamm3r, вопрос уже не актуален Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти